[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:3483] Re: アタックなのでしょうか?
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:3483] Re: アタックなのでしょうか?
- From: syun <syun@xxxxxxx>
- Date: Fri, 22 Mar 2002 22:49:48 +0900
>
> こんなのもありました。
>
> Unusual System Events
> =-=-=-=-=-=-=-=-=-=-=
> Mar 22 21:42:11 sv01 tcplog[5168]: port 80 connection attempt from
> 211.100.87.142:1119
> Mar 22 21:42:12 sv01 tcplog[5169]: port 80 connection attempt from
> 211.100.87.142:1120
> Mar 22 21:42:13 sv01 tcplog[5170]: port 80 connection attempt from
> 211.100.87.142:1119
> Mar 22 21:42:13 sv01 tcplog[5171]: port 80 connection attempt from
> 211.100.87.142:1121
> Mar 22 21:42:14 sv01 tcplog[5172]: port 80 connection attempt from
> 211.100.87.142:1120
該当する apacheのログに、
"GET /scripts/root.exe?/c+dir HTTP/1.0" 200 13
というアクセスで始まるログがあれば、Nimda。
"GET /default.ida?NNNNN(以下、略) とか "GET /default.ida?XXXX(以下、略)
であれば CodeRed系のワームだと思われます。
NimdaやCodeRedのフリをした攻撃ってのも有り得ますが、
Windows系しか影響されないので TurboLinuxなら平気です。
--[PR]------------------------------------------------------------------
とっても便利♪♪ MyPage もう使ってる?
使ってない人は今すぐ登録→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp